Wenn du Microsoft Intune in grossem Massstab verwaltest, kennst du den Schmerz: Hunderte von Richtlinien, die meisten davon mit leeren oder veralteten Beschreibungen, und null Überblick darüber, welche Einstellungen sich überschneiden oder sich über Richtlinien hinweg sogar widersprechen. Ich habe das in so ziemlich jedem Tenant gesehen, mit dem ich gearbeitet habe, und ehrlich gesagt ist das eines der am meisten unterschätzten operativen Risiken im modernen Endpoint-Management.
Also habe ich ein Tool gebaut, um das zu lösen. Es baut auf derselben Idee auf, die ich in Create your own Intune Co Pilot using Azure OpenAi Studio erkundet habe, geht aber mit Richtliniendokumentation und Konfliktanalyse einen Schritt weiter. Lass es mich dir Schritt für Schritt zeigen.
Inhaltsverzeichnis
Das Problem
Seien wir ehrlich: Niemand schreibt gern Richtlinienbeschreibungen. Du erstellst ein neues Settings-Catalog-Profil, konfigurierst 15 Einstellungen, weist es zu und machst weiter. Das Beschreibungsfeld? Bleibt leer. Vielleicht schreibst du “Windows Security Settings”, wenn du grosszügig bist.
Nun multipliziere das über einen Enterprise-Tenant mit über 200 Richtlinien. Wenn ein Kollege verstehen muss, was eine Richtlinie tut, muss er jede einzelne öffnen, durch jede Einstellung scrollen und sich die Absicht zusammenreimen. Das ist keine Dokumentation, das ist Archäologie.
Und dann gibt es noch das Konfliktproblem. Du hast ein Device-Configuration-Profil, das eine Passwortanforderung auf true setzt, und irgendwo in einer anderen Compliance-Richtlinie ist dieselbe Einstellung anders konfiguriert. Niemand bemerkt es, bis sich Benutzer beschweren — oder schlimmer, bis ein Audit darauf aufmerksam macht.
Die Lösung: Intune PolicyManagement
Ich habe Intune PolicyManagement als lokales Tool gebaut, das drei Dinge erledigt:
- Es ruft all deine Intune-Richtlinien ab über die Microsoft Graph API, alle 12 Richtlinientypen, von Device Configuration und Settings Catalog über Endpoint Security, Conditional Access, Autopilot-Profile bis hin zu Remediation Scripts.
- Es generiert aussagekräftige Beschreibungen mithilfe von Azure OpenAI. Das Tool sendet die vollständige Richtlinienkonfiguration (als JSON) an dein Microsoft-Foundry-Deployment und erhält eine strukturierte, menschenlesbare Beschreibung zurück. Du siehst einen Vorher-Nachher-Vergleich und kannst das Ergebnis bearbeiten, bevor du es zurückschreibst.
- Es analysiert Richtlinienkonflikte, indem es alle Richtlinien auf sich überschneidende Einstellungen durchsucht. Es zeigt dir genau, welche Einstellungen in mehreren Richtlinien konfiguriert sind und ob sie in Konflikt stehen (unterschiedliche Werte) oder nur Duplikate sind (gleicher Wert, mehrere Stellen).
Wie es funktioniert
Die Architektur ist unkompliziert: Ein React-Frontend (Vite + TypeScript + Tailwind CSS) kommuniziert mit einem Python-FastAPI-Backend. Das Backend übernimmt die MSAL-Authentifizierung, die Graph-API-Aufrufe und die Azure-OpenAI-Integration.
So läuft der Ablauf:
- Du meldest dich mit deinem Microsoft-Konto an (interaktive Browser-Anmeldung via MSAL)
- Klicke auf “Load Policies” — das Tool ruft alle 12 Richtlinientypen parallel ab
- Wähle die Richtlinien aus, die du beschreiben möchtest (einzeln, gefiltert oder alle auf einmal)
- Klicke auf “Generate” — Microsoft Foundry analysiert die vollständige Konfiguration jeder Richtlinie und erstellt eine Beschreibung
- Überprüfe den Vorher-Nachher-Vergleich und bearbeite ihn bei Bedarf
- Schreibe die Beschreibungen mit einem Klick zurück nach Intune
Für die Konfliktanalyse wechselst du zum dedizierten Tab, klickst auf “Start Analysis”, und das Tool vergleicht jede Einstellung über alle Richtlinien hinweg. Konflikte erscheinen in Rot, Duplikate in Bernstein — mit ausklappbaren Details, die genau zeigen, welche Richtlinien betroffen sind und welche Werte sie verwenden.
Unterstützte Richtlinientypen
Das Tool deckt das gesamte Spektrum der Intune-Richtlinientypen ab:
- Device Configuration
- Settings Catalog
- Compliance Policies
- App Protection Policies
- Conditional Access
- Endpoint Security
- App Configuration
- Autopilot Deployment Profiles
- Device Enrollment Configurations
- Remediation Scripts
- PowerShell Scripts
- Group Policy (ADMX) inklusive Definitionswerten
Warum Microsoft Foundry?
Ich habe mich entschieden, dies auf Microsoft Foundry aufzubauen statt auf einer öffentlichen API. In Enterprise-Umgebungen enthalten deine Intune-Richtlinienkonfigurationen sensible Informationen über deine Sicherheitslage, deine Compliance-Anforderungen und dein Infrastruktur-Setup. Diese Daten innerhalb der Grenzen deines Azure-Tenants zu halten, ist wichtig.
Die LLM-Einstellungen (System-Prompt, Output-Template, benutzerdefinierte Anweisungen) sind über die UI vollständig anpassbar und werden lokal gespeichert. Du kannst das Ausgabeformat so abstimmen, dass es den Dokumentationsstandards deiner Organisation entspricht.
Was mir an diesem Ansatz gefällt
Er ist praktisch. Du musst deinen Workflow nicht ändern. Richtlinien laden, generieren, überprüfen, zurückschreiben -> fertig. Eine Aufgabe, die manuell Tage dauern würde (das Schreiben ordentlicher Beschreibungen für 200 Richtlinien), dauert nur Minuten.
Er findet Probleme, von denen du nicht wusstest, dass du sie hast. Allein die Konfliktanalyse ist den Aufwand der Einrichtung wert. Ich habe das gegen Kunden-Tenants laufen lassen und Dutzende widersprüchlicher Einstellungen gefunden, die monatelang unbemerkt Probleme verursacht hatten.
Er läuft lokal. Kein Cloud-Dienst, kein SaaS-Abo, keine Daten, die deine Kontrolle verlassen, abgesehen von der Graph API und deiner eigenen Microsoft-Foundry-Instanz. Klone das Repo, konfiguriere deine Microsoft-Foundry-Zugangsdaten und leg los.
Erste Schritte
Du benötigst:
- Python 3.11–3.13 und Node.js 18+
- Azure CLI installiert und angemeldet
- Ein Azure-OpenAI-Deployment (z. B. GPT-4o oder GPT-5-mini)
- Entsprechende Intune-Berechtigungen (Intune Administrator oder gleichwertig)
Die Einrichtung ist unkompliziert:
git clone https://github.com/JayRHa/Intune-PolicyManagement.git
cd Intune-PolicyManagement
# Backend
cd backend
python3.13 -m venv venv
source venv/bin/activate
pip install -r requirements.txt
pip install msal
# Create .env with your Azure OpenAI credentials
cp ../.env.example .env
# Frontend
cd ../frontend
npm install
Starte dann beide Server (Backend auf Port 8099, Frontend auf Port 5173) und öffne http://localhost:5173.
Die vollständige Installationsanleitung, die API-Referenz und Tipps zur Fehlerbehebung findest du in der GitHub-README.
Wie es weitergeht
Dies ist ein Open-Source-Projekt und ich entwickle es aktiv weiter.
Wenn du Feedback, Feature-Wünsche hast oder beitragen möchtest — das Repo ist offen: github.com/JayRHa/Intune-PolicyManagement
Fazit
Eine gute Richtliniendokumentation ist nicht glamourös, aber sie ist essenziell — für Audits, fürs Onboarding, für die Fehlerbehebung und für deine eigene Nervenruhe in sechs Monaten. Und zu wissen, wo sich deine Richtlinien überschneiden oder in Konflikt stehen, ist sogar noch entscheidender.
Dieses Tool nimmt den mühsamen Teil aus der Gleichung und lässt dich dich auf das konzentrieren, was wirklich zählt: fundierte Entscheidungen über deine Endpoint-Management-Strategie zu treffen.
Probiere es aus und lass mich wissen, was du denkst. Wenn du tiefer in die Microsoft-Graph-Seite davon eintauchen möchtest, schau dir meinen Beitrag zum Graph Batch Endpoint an.
[…] let’s understand how all the pieces fit together. This follows the same broader pattern as AI-powered Intune policy documentation and conflict analysis: use AI to interpret Intune data instead of only retrieving […]
[…] future of device management. For a practical example of what that future can look like, check out AI-Powered Intune Policy Documentation and Conflict Analysis. If you want to take the next step, check out Build a Microsoft Intune AI Agent with Foundry. For a […]